Per una goffaggine di programmazione, la dating app Grindr concedeva l’accesso ai dati dei suoi utenti a tutti coloro che indovinavano la loro email.

Ennesimo guaio per il social di incontri gay, bisex, trans e queer. Ieri la testata Tech Crunch ha reso noto un difetto per cui qualsiasi internauta dotato di malizia avrebbe potuto sabotare l’accesso ai profili, ottenendone l’accesso. La falla è stata tamponata velocemente, ma non è comunque dato sapere se l’errore abbia comportato danni concreti.

Violare il sistema era semplice, una volta che si sapeva come agire: era sufficiente inserire la mail del malcapitato, chiedere il cambio password e “intercettare” il codice provvisorio che il sito mandava in automatico sul web browser utilizzato.

Non un procedimento immediato, ma alla portata di tutti coloro che sono capaci a navigare un minimo i menù d’ispezione offerti da software di navigazione quali Chrome o Safari.

Il difetto è stato scoperto dal security researcher Wassime Bouimadaghene e testato dal più celebre collega Troy Hunt di Have I been Pwned.

Si tratta di una delle più elementari tecniche che abbia mai visto per impossessarsi degli account. Non riesco a comprendere perché il token di reset – che dovrebbe essere una chiave segreta – sia rimbalzato nel corpo di risposta di una richiesta emessa anonimamente.

La semplicità di utilizzo [di questa tecnica] è incredibilmente bassa e l’impatto è ovviamente significativo, quindi questo è un qualcosa che bisogna prendere seriamente,

ha scritto Hunt sul suo blog.

Tra il 2018 e il 2020, Grindr era già finito sotto i riflettori per aver girato ad aziende terze le informazioni sullo stato di HIV dei suoi utenti, nonché per aver condiviso i dati degli iscritti ad aziende pubblicitarie.

Da allora l’app ha tuttavia cambiato gestione, passando da una proprietà cinese a una statunitense. Questa è la prima crisi che la nuova azienda deve affrontare e solo il tempo potrà rivelare come sia stata gestita la faccenda.

 

Potrebbe anche interessarti: